Post by Marcel LogenPost by Peter J. Holzer2. Ich kann auch selber einen Mail-Server aufsetzen, der Mails
DKIM-signiert und habe dann volle Kontrolle darüber, was ich signiere.
Auch das wäre eine gültige DKIM-Signatur.
Kann schon sein, aber Du signierst mit einem geheimen Schlüssel,
der nicht zur Telekom gehört.
Post by Peter J. Holzer* Wer hat die Mail signiert? Wenn die Mail angeblich vom Support-Team
der Telekom stammt, sollte das die Telekom selbst sein. Gehört die d=
Domain der Telekom, und wenn ja, ist das die Domain, die die Telekom
üblicherweise für DKIM-Signaturen verwendet?
* Welche Teile der Mail wurden überhaupt signiert? Normalerweise ist da
der From-Header (der uns hier interessiert) dabei, aber streng
genommen darf man sich auch darauf nicht verlassen.
* Ist die Absender-Adresse die richtige?
Ich habe zufällig heute eine (rechnerisch gültig) DKIM-
signierte SPAM-(Phishing(?)-)Mail bekommen.
Hier einige Daten dazu:
| DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
| d=ijasshop.com; s=default; h=Content-Type:Date:Subject:To:From:Message-ID:
| Reply-To:MIME-Version:Sender:Cc:Content-Transfer-Encoding:Content-ID:
| Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
| :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
| List-Subscribe:List-Post:List-Owner:List-Archive;
| bh=rybrbjAzn+8wYIzSs0RkOWLyGncej6L9Qflpo7pnpYs=; b=hNz5145j9b9EzwLQKDabnoXaOY
| 5RDy6Oq7yEjxvI8phXo6c26FfzjBfWhLl2LJ33kiPqY7sa/rcHcyMuceyRzjOKK/RCeCITOidu+9D
| mF+q5elu83ONp3gHa1BifLdM+MAXpPH9UoEXqS2D5i7r3k+npI0XTPH25TYv84RZ1zMKBkGAVptkt
| Z7YmwXHafDI34KmhQ01JrHXQlQ1TvojdtgEqzUFW7zyYvhR6JbP6+ueUawAkV8CMJyyN5J8nwJVY+
| PVDjX6OAghsPizhOUjDI0O6nINSOcHnNkMsXhvabX+Dvq3qcqnMec9NOLO/4JQiK1rsBArsRGt56d
| ntr8HQfA==;
| $ host -t TXT default._domainkey.ijasshop.com
| default._domainkey.ijasshop.com descriptive text "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAutdOC6D1Rbl2cAHJZpepRXtufBllHUYcy6/0R7rSk9iNId1RVaa6emU/tytURiLxLq2uyzoyPkx7/jBZNciF3ghcGAv2cI02ZX5SPYweZJEjW9wTor5nyXPjoYx9Z16SXnfStBV4x04vLz/PZOrw5olNoyhmE8PJ23VGeQ4oLESvJVSDhccosM3cCIP6ySoat" "SK6lEdXwrxqdT1MfoeTtGgyXhxD22ZyY1hLGzYfLLaxiCMcmqOQBFXo2d3QNg7oIQMZ2KXBpeqcAFTZ4NkOrwtE0qqTNy+ge8c/yyX1LqP9gZh99lNk0mQS4NIa59RYAVAigr2ZvPtlfwbujK7z1QIDAQAB;"
Demnach lautet der öffentliche Schlüssel:
| $ od -Ad -tx1 key.2bin
| 0000000 30 82 01 22 30 0d 06 09 2a 86 48 86 f7 0d 01 01
| 0000016 01 05 00 03 82 01 0f 00 30 82 01 0a 02 82 01 01
| 0000032 00 ba d7 4e 0b a0 f5 45 b9 76 70 01 c9 66 97 a9
| 0000048 45 7b 6e 7c 19 65 1d 46 1c cb af f4 47 ba d2 93
| 0000064 d8 8d 21 dd 51 55 a6 ba 7a 65 3f b7 2b 54 46 22
| 0000080 f1 2e ad ae cb 3a 32 3e 4c 7b fe 30 59 35 c8 85
| 0000096 de 08 5c 18 0b f6 70 8d 36 65 7e 52 3d 8c 1e 64
| 0000112 91 23 5b dc 13 a2 be 67 c9 73 e3 a1 8c 7d 67 5e
| 0000128 92 5e 77 d2 b4 15 78 c7 4e 2f 2f 3f cf 64 ea f0
| 0000144 e6 89 4d a3 28 66 13 c3 c9 db 75 46 79 0e 28 2c
| 0000160 44 af 25 54 83 85 c7 28 b0 cd dc 08 83 fa c9 2a
| 0000176 1a b5 22 ba 94 47 57 c2 bc 6a 75 3d 4c 7e 87 93
| 0000192 b4 68 32 5e 1c 43 db 66 72 63 58 4b 1b 36 1f 2c
| 0000208 b6 b1 88 23 1c 9a a3 90 04 55 e8 d9 dd d0 36 0e
| 0000224 e8 21 03 19 d8 a5 c1 a5 ea 9c 00 54 d9 e0 d9 0e
| 0000240 af 0b 44 d2 aa 93 37 2f a0 7b c7 3f cb 25 f5 2e
| 0000256 a3 fd 81 98 7d f6 53 64 d2 64 12 e0 d2 1a e7 d4
| 0000272 58 01 50 22 82 bd 99 bc fb 65 7f 06 ee 8c ae f3
| 0000288 d5 02 03 01 00 01
| 0000294
Der relevante (von mir entsprechend RFC6376 bearbeitete) Mail-
Headerteil lautet:
| ***@o15:~/ybtra-o15/dkim/u_1$ cat -vET mailheader.2
| content-type:multipart/mixed; boundary="----=_NextPart_001_CC8B_4C886555.497AEC63"^M$
| date:Fri, 28 Oct 2022 02:58:37 +0000^M$
| subject:Help us prevent your wallet form suspension^M$
| to:333200007110-***@ybtra.de^M$
| from:"=?utf-8?Q?M=D0=B5taMask-2Factor?=" <***@ijasshop.com>^M$
| message-id:<***@ijasshop.com>^M$
| reply-to:"=?utf-8?Q?M=D0=B5taMask-2Factor?=" <***@mta.io>^M$
| mime-version:1.0^M$
| dkim-signature:v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=ijasshop.com; s=default; h=Content-Type:Date:Subject:To:From:Message-ID: Reply-To:MIME-Version:Sender:Cc:Content-Transfer-Encoding:Content-ID: Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe: List-Subscribe:List-Post:List-Owner:List-Archive; bh=rybrbjAzn+8wYIzSs0RkOWLyGncej6L9Qflpo7pnpYs=; b=;***@o15:~/ybtra-o15/dkim/u_1$
Den bodyhash (bh) habe ich überprüft: ist OK.
Die Signatur ist:
| ***@o15:~/ybtra-o15/dkim/u_1$ od -Ad -tx1 sig.2bin
| 0000000 84 dc f9 d7 8e 63 f5 bf 44 cf 02 d0 28 36 9b 9e
| 0000016 85 da 39 8e 51 0f 2e 8e ab bc 84 8f 1b c8 f2 98
| 0000032 57 a3 a7 36 e8 57 f3 8c 17 d6 84 b9 76 2c 9d f7
| 0000048 92 23 ea 63 bb 1a fe b7 07 73 23 2e 71 ec 91 ce
| 0000064 33 8a 2b f4 42 78 22 13 3a 27 6e fb d0 e6 17 ea
| 0000080 b9 7a 5b bc dc e3 69 de 01 da d4 18 9f 2d d3 3e
| 0000096 30 05 e9 3c 7f 54 a0 45 ea 4b 60 f9 8b ba f7 93
| 0000112 e9 e9 23 45 d3 3c 7d b9 4d 8b fc e1 16 75 cc c2
| 0000128 81 90 60 15 a6 d9 2d 67 b6 26 c1 71 da 7c 32 37
| 0000144 e0 a9 a1 43 4d 49 ac 75 d0 95 0d 53 be 88 dd b6
| 0000160 01 2a cd 41 56 ef 3c 98 be 14 7a 25 b3 fa fa e7
| 0000176 94 6b 00 24 57 c0 8c 27 2c 8d e4 9f 27 c0 95 58
| 0000192 f8 f5 43 8d 7e 8e 02 08 6c 3e 2c e1 39 48 c3 23
| 0000208 43 ba 9c 83 52 39 c1 e7 36 43 2c 5e 1b da 6d 7f
| 0000224 83 be ad ea 72 a9 cc 79 cf 4d 38 b3 bf e0 94 22
| 0000240 2b 5a ec 04 0a ec 44 6b 79 e9 d9 ed af c1 d0 7c
| 0000256
So kann ich die DKIM-Signatur verifizieren:
| ***@o15:~/ybtra-o15/dkim/u_1$ openssl dgst -verify key.2bin -keyform DER -signature sig.2bin mailheader.2
| Verified OK
Das heißt für mich, daß auch ein Spammer eine gültige Signa-
tur erzeugen kann. Man muß also - wie Du schreibst - tatsäch-
lich noch prüfen, ob die From-Adresse zur DKIM-Domain gehört.
Marcel
--
╭───╮ ╭──╮ ╭─╮ ╭──╮ ..34..╭──╮ ╭──╮ ╭───╮ ╭──╮ ╭─╮
╮ ╰─╮ ╰─╯ ╰──╯ │ ..20..╭─╯ ╰──╮ ╭─╯ ╰──╯ ╰─╮ │ ╰─╯ ╰─╯ ╰─────
╰─╮ ╰─╮ ╭──────╯ ╭─╯ ╰───╯ ╭─────────╯ ╰─────╮ ..67..
╰────╯ ╰────────────╯ ╰──────────────────╯ ..67..